Cercetători din laborator Universitatea din Chicago a dezvoltat un set de instrumente cu implementarea denaturarea fotografiilor, împiedicând utilizarea lor pentru antrenamentul sistemelor de recunoaștere a feței și de identificare a utilizatorilor. Modificările de pixeli sunt aduse imaginii, care sunt invizibile atunci când sunt vizualizate de oameni, dar conduc la formarea de modele incorecte atunci când sunt utilizate pentru antrenarea sistemelor de învățare automată. Codul setului de instrumente este scris în Python și sub licență BSD. Adunări pentru Linux, macOS și Windows.
Prelucrarea fotografiilor cu utilitarul propus înainte de publicare pe rețelele sociale și alte platforme publice vă permite să protejați utilizatorul de utilizarea datelor foto ca sursă pentru antrenarea sistemelor de recunoaștere a feței. Algoritmul propus oferă protecție împotriva a 95% din încercările de recunoaștere a feței (pentru API-ul de recunoaștere Microsoft Azure, Amazon Rekognition și Face++, eficiența protecției este de 100%). Mai mult, chiar dacă în viitor fotografiile originale, neprocesate de utilitate, sunt folosite într-un model care a fost deja antrenat folosind versiuni distorsionate ale fotografiilor, nivelul eșecurilor în recunoaștere rămâne același și este de cel puțin 80%.
Metoda se bazează pe fenomenul „exemplelor adverse”, a căror esență este că modificările minore ale datelor de intrare pot duce la schimbări dramatice în logica clasificării. În prezent, fenomenul „exemplelor contradictorii” este una dintre principalele probleme nerezolvate în sistemele de învățare automată. În viitor, se așteaptă să apară o nouă generație de sisteme de învățare automată care nu prezintă acest dezavantaj, dar aceste sisteme vor necesita schimbări semnificative în arhitectura și abordarea modelelor de construcție.
Prelucrarea fotografiilor se rezumă la adăugarea unei combinații de pixeli (clustere) la imagine, care sunt percepuți de algoritmii de învățare automată profundă ca modele caracteristice obiectului imagine și conduc la denaturarea caracteristicilor utilizate pentru clasificare. Astfel de modificări nu ies în evidență din ansamblul general și sunt extrem de greu de detectat și eliminat. Chiar și cu imaginile originale și modificate, este dificil să se determine care este originalul și care este versiunea modificată.
Distorsiunile introduse demonstrează rezistență ridicată la crearea de contramăsuri care vizează identificarea fotografiilor care încalcă construcția corectă a modelelor de învățare automată. Includerea metodelor bazate pe estompare, adăugarea de zgomot sau aplicarea de filtre la imagine pentru a suprima combinațiile de pixeli nu sunt eficiente. Problema este că atunci când se aplică filtre, precizia de clasificare scade mult mai repede decât detectabilitatea modelelor de pixeli, iar la nivelul în care distorsiunile sunt suprimate, nivelul de recunoaștere nu mai poate fi considerat acceptabil.
Se observă că, la fel ca majoritatea celorlalte tehnologii de protejare a vieții private, tehnica propusă poate fi folosită nu numai pentru combaterea utilizării neautorizate a imaginilor publice în sistemele de recunoaștere, ci și ca instrument de ascundere a atacatorilor. Cercetătorii cred că problemele cu recunoașterea pot afecta în principal serviciile terțe care colectează informații în mod necontrolat și fără permisiunea de a-și antrena modelele (de exemplu, serviciul Clearview.ai oferă o bază de date de recunoaștere a feței, sunt indexate aproximativ 3 miliarde de fotografii de pe rețelele sociale). Dacă acum colecțiile de astfel de servicii conțin în cea mai mare parte imagini fiabile, atunci cu utilizarea activă a lui Fawkes, în timp, setul de fotografii distorsionate va fi mai mare, iar modelul le va considera o prioritate mai mare pentru clasificare. Sistemele de recunoaștere ale agențiilor de informații, ale căror modele sunt construite pe baza unor surse de încredere, vor fi mai puțin afectate de instrumentele publicate.
Printre dezvoltări practice apropiate de scop, putem remarca proiectul , în curs de dezvoltare pentru a adăuga imagini , împiedicând clasificarea corectă de către sistemele de învățare automată. Codul adversarului camerei pe GitHub sub licență EPL. Un alt proiect își propune să blocheze recunoașterea de către camerele de supraveghere prin crearea de impermeabile, tricouri, pulovere, pelerine, postere sau pălării cu model special.
Sursa: opennet.ru